bluebit

Datenschutz

DSGVO: Millionen Passwörter von Facebook im Klartext gespeichert

von Robert Klatt •

Durch die unverschlüsselte Speicherung der Passwörter konnten Entwickler auf Daten von bis zu 600 Millionen Nutzer zugreifen.


0 Kommentare

Die Welle von groben Datenschutzverstößen bei Facebook scheint auch im Jahr 2019 kein Ende zu nehmen. Wie über die Firmenwebseite mitgeteilt wurde hat das Unternehmen seit 2012 Passwörter von Millionen Nutzer im Klartext gespeichert, statt diese wie üblich als Hash in der Datenbank abzulegen.

"Wir gehen davon aus, dass wir Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie Zehntausende Instagram-Nutzer benachrichtigen werden"

Intern konnten rund 20.000 Mitarbeiter auf die so gespeicherten Passwörter zugreifen. Das Unternehmen erklärt trotzdem, dass kein Missbrauch der Nutzerdaten festgestellt werden konnte und keine Person außerhalb des Unternehmens Zugriff auf die Daten hatte. Bei dem besonders betroffenen Facebook Lite, handelt es sich um eine reduzierte Version des sozialen Netzwerks, die speziell für Nutzer mit langsamen Internetverbindungen geschaffen wurde.

Benachrichtigung der Nutzer

Als "Vorsichtsmaßnahme" wurden die betroffenen von Facebook, obwohl laut dem Unternehmen kein Missbrauch vorliegt, benachrichtigt. Es wird empfohlen, die Passwörter zu ändern.

Aufgefallen ist der Datenschutzfauxpas bei einer Routineprüfung im Januar. Laut Facebook soll inzwischen sichergestellt seien, dass Passwörter ausschließlich als Hash hinterlegt werden.

Laut einem Artikel des Security-Bloggers Brian Krebs, der als äußerst gut vernetzt und informiert gilt, sollen zwischen 200 und 600 Millionen Nutzers betroffen seien. In den Archiven sollen bei der Entdeckung noch Passwörter gefunden worden seien, die 2012 von Nutzer eingetragen wurden. 2.000 Entwickler sollen laut den Logfiles Datenbankabfragen gemacht haben, um unverschlüsselte Passwörter abzurufen. Ein Kommentar des Unternehmens zu diesen Vorwürfen, die nicht der Darstellung entsprechen, steht noch aus.

DSGVO-Verstoß

Facebook hat durch die Speicherung der Passwörter gegen Artikel 32 der EU-Datenschutzgrundverordnung (DSGVO) verstoßen.

"Sicherheit der Verarbeitung" fordert Artikel 32 auch die "Pseudonymisierung und Verschlüsselung personenbezogener Daten". 

Artikel 2 verlangt: "Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind."

Dem Unternehmen steht aus diesem Grund eine Straße von bis zu zehn Millionen Euro oder im Falle von Facebook bis zu zwei Prozent des weltweiten Jahresumsatzes ins Haus.

0 Kommentare

Kommentar verfassen